Cryptage Une vieille connaissance refait parler d'elle et c'est une nouvelle fois Kaspersky Lab qui sonne l'alerte. Déjà en 2007 le code malicieux Gpcode avait fait parler de lui, plus par sa singularité que par sa réelle dangerosité. Taxé de virus maître chanteur, Gpcode a pour habitude de chiffrer des fichiers de différents types présents sur la machine infectée (.doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h, etc.), et de demander alors une rançon en échange d'un utilitaire permettant le déchiffrement. Aujourd'hui, rebelote avec une nouvelle variante en circulation, mais la menace est montée d'un cran pour les utilisateurs Windows qui faute de vigilance ou d'une solution anti-virus à jour, auront leur ordinateur infecté.

Pour son opération de chiffrement, Gpcode utilisait par le passé un algorithme de codage RSA avec des clés de longueur variable qui ont toujours été cassées. La clé la plus longue a ainsi été de 660 bits, et Kaspersky avait alors indiqué qu'il aurait fallu normalement 30 ans à un PC équipé d'un processeur 2,2 GHz pour en venir à bout. Désormais, Virus32.Gpcode.ak selon la dénomination employée par Kaspersky Lab, utilise une clé RSA de 1024 bits bien plus difficile à casser, mais un véritable défi que l'éditeur a décidé de relever avec l'aide de bonnes âmes. Insistons bien sur le fait que la définition dudit virus a d'ores et déjà été ajoutée dans les bases virales de Kaspersky Lab, et d'autres du reste. Casser la clé ne relève donc pas d'une nécessité absolue, sauf peut-être pour les imprudents piégés.

Avec son opération Stop Gpcode, l'éditeur russe invite ainsi " tous les spécialistes du chiffrement à travers le monde à rassembler leurs efforts pour décrypter la clé RSA de 1024 bits ", écrit-il dans un communiqué, précisant qu'il s'agit là d'un défi cryptographique des plus complexes. Un forum dédié à cette opération a été mis en ligne.


Au cas où...
Concernant le mode opératoire de Gpcode, après le chiffrement d'un fichier, son extension est changée en ._CRYPT et le virus place alors un fichier texte intitulé !_READ_ME_.txt dans le même dossier. Ce fichier texte explique à l'utilisateur que pour déchiffrer le fichier, il doit acheter un utilitaire spécifique. En pareil cas, Kaspersky Lab demande à la victime de ne pas répondre et de prendre contact à l'adresse stopgcode@kaspersky.com avec un autre ordinateur. Par ailleurs, la machine infectée ne doit pas être redémarrée ou éteinte.